Codecov供应链攻击危及多家科技巨头

近日,软件审计公司Codecov的产品代码爆出供应链攻击,导致该公司数百个客户的网络遭遇非法访问。

最初安全专家认为攻击仅影响Codecov,现在,该事件已被认定是供应链攻击,复杂性堪比SolarWinds供应链攻击。

调查人员透露,这次袭击已经导致数百个Codecov客户的网络被访问。Codecov的客户规模高达2.9万,其中包括许多大型科技品牌,例如IBM、Google、GoDaddy和HP,以及媒体发行商《华盛顿邮报》和知名消费品公司(宝洁)等等。

Codecov提供的工具使开发人员能够了解测试期间执行的源代码数量(代码覆盖率),以帮助他们开发更可靠、更安全的软件产品。

但是,该公司的一个Docker文件发生错误,使攻击者可以窃取凭据并修改客户使用的Bash Uploader脚本。

尽管事件是在4月1日才发现的,但Codecov表示:“自1月31日起,就有第三方对我们的Bash Uploader脚本进行未授权的定期更改。”

该公司表示,攻击者可以访问存储在客户的持续集成(CI)环境中的所有凭据令牌或密钥,进而可以访问通过这些凭据访问的任何服务、数据存储和应用程序代码。

一位调查人员告诉路透社,通过供应链攻击,攻击者可以利用此技术访问成千上万个受限制的网络。

F-Secure战术防御部门的高级经理Calvin Gan敦促企业在执行安全审核时将像Codecov之类的第三方供应商视为其组织的一部分,并定期进行审核,确保所有配置都经过验证。

“始终了解并权衡使用诸如Codecov之类的任何第三方服务时所涉及的风险。虽然提供的服务是一项有价值的服务,但最好检查或限制发送给这些服务的内容,特别是如果它包含凭据或敏感信息时。”他补充说。

“这并不容易,特别是如果该服务是公司所信任的服务。但是,一旦发现诸如此类的漏洞,风险评估和提前制定的备份、响应计划将派上用场。”

标签: